¶ Модуль 1. Настройка сетевой инфраструктуры
Необходимо разработать и настроить инфраструктуру информационно коммуникационной системы согласно предложенной топологии (см. Рисунок 1) Задание включает базовую настройку устройств: • присвоение имен устройствам • расчет IP-адресации • настройку коммутации и маршрутизации В ходе проектирования и настройки сетевой инфраструктуры следует вести отчет о своих действиях, включая таблицы и схемы, предусмотренные в задании. По каждому пункту задания, требующего отчёт, составить текстовый документ, название которого должно содержать индекс пункта и краткое описание. Текстовый документ должен содержать текстовую информацию и может включать снимки экрана, кадрированные таким образом, чтобы относящаяся к выполнению задания информация на снимках была читаемой. Итоговый отчет по окончании работы следует сохранить на диске рабочего места и задать имя файла - ФамилияУчастникаМодуль1 без учёта расширения.
Приложения для выполнения задания лежат в корневом катологе репозитория
¶ Данные по виртуальным машинам в рамках модуля 1 (будем использовать в рамках стенда скорее всего ТОЛЬКО ALT - ALT Server и ALT WorkStation)
¶ Топология сети
¶ Схема из Yonote
¶ Задание модуль 1
¶ 1. Произведите базовую настройку устройств: Настройте имена устройств согласно топологии. Используйте полное доменное имя • На всех устройствах необходимо сконфигурировать IPv4: • IP-адрес должен быть из приватного диапазона, в случае, если сеть локальная, согласно RFC1918 • Локальная сеть в сторону HQ-SRV(VLAN 100) должна вмещать не более 32 адресов • Локальная сеть в сторону HQ-CLI(VLAN 200) должна вмещать не менее 16 адресов • Локальная сеть для управления(VLAN 999) должна вмещать не более 8 адресов • Локальная сеть в сторону BR-SRV должна вмещать не более 16 адресов • Сведения об адресах занесите в таблицу 2, в качестве примера используйте Прил_3_О1_КОД 09.02.06-1-2026-М1
¶ Произведите базовую настройку устройств: Настройте имена устройств согласно топологии
В терминале прописываем mcedit /etc/hostname
Далее заменяем значение на имя нашей ВМ - cтавим имя с учетом полного доменного имени (обращаю внимание, что просят полное доменное имя, т.е., согласно пункту задания 9 - DNS-суффикс – au-team.irpo, поэтому все названия в файле будут прописываться как название_машины.au-team.irpo.)
¶ На всех устройствах необходимо сконфигурировать IPv4: • IP-адрес должен быть из приватного диапазона, в случае, если сеть локальная, согласно RFC1918 • Локальная сеть в сторону HQ-SRV(VLAN 100) должна вмещать не более 32 адресов • Локальная сеть в сторону HQ-CLI(VLAN 200) должна вмещать не менее 16 адресов • Локальная сеть для управления(VLAN 999) должна вмещать не более 8 адресов • Локальная сеть в сторону BR-SRV должна вмещать не более 16 адресов
Далее необходимо настроить виртуальные сетевые адаптеры на ВМ, для этого переходим в настройки виртуальной машины, где добавляем необходимое по схеме кол-во сетевых адаптеров, а также прописываем сети в которых они будут работать, ПРИМЕР НА ISP
Настройки для других машин:
HQ-SRV
HQ-CLI
BR-RTR
BR-SRV
HQ-RTR
⚠️Сеть VM Network не представлена в задании, используется, если есть проблемы с выходом в интернет, т.е., через неё напрямую дается выход в интернет с любой машины, если на адаптере включить DHCP.
Для проверки корректности сетевых адаптеров используем команду - ip -c a
Выводит список сетевых адаптеров. Далее через настройки ВМ, ОБЯЗАТЕЛЬНО сводим значения MAC-адресов, чтобы понять, какой сетевой адаптер куда подключается
¶ Пример настройки сетевого адаптера для выхода на DHCP
Открываем файл конфигурации сетевого адаптера
В значении BOOTPROTO меням static на dhcp (МАЛЕНЬКИМИ БУКВАМИ)
¶ Пример настройки нового сетевого адаптера на статику
Создаем новую директорию для конфигурации сетевого адаптера (НАЗВАНИЕ ДИРЕКТОРИИ, ПО ИМЕНИ СЕТЕВОГО АДАПТЕРА ИЗ КОМАНДЫ ip -c a)
Копируем из базовой директории ens192 (есть всегда), файл конфигурации в новые директории для вновь созданных сетевых адаптеров
Для статики оставляем BOOTPROTO = static
Создаем новый файл в папке с сетевым адаптером, для конфигурации IP-адреса
Прописываем адрес с маской
⚠️В случае если, проставляем IP-адрес на конечном устройстве, или на маршрутизаторе в сторону ISP, НЕ ЗАБЫВАЕМ СТАВИТЬ ОСНОВНОЙ ШЛЮЗ, для этого создаем файл
Прописываем только IP-адрес (БЕЗ МАСКИ), устройства куда нужно отправлять пакеты (ВЫШЕСТОЯЩЕЕ УСТРОЙСТВО ПО СХЕМЕ)
Для применения настроек (для перезагрузки сети), прописываем команду - systemctl restart network
⚠️ДЛЯ ПРИМЕНЕНИЯ ИМЕНИ ХОСТА, НУЖНО ПЕРЕЗАГРУЗИТЬ ВМ - reboot (на клиенте через меню, графически)
¶ 2. Настройте доступ к сети Интернет, на маршрутизаторе ISP: • Настройте адресацию на интерфейсах: • Интерфейс, подключенный к магистральному провайдеру, получает адрес по DHCP • Настройте маршрут по умолчанию, если это необходимо • Настройте интерфейс, в сторону HQ-RTR, интерфейс подключен к сети 172.16.1.0/28 • Настройте интерфейс, в сторону BR-RTR, интерфейс подключен к сети 172.16.2.0/28 • На ISP настройте динамическую сетевую трансляцию портов для доступа к сети Интернет HQ-RTR и BR-RTR.
⚠️Чтобы было удобнее и точно работало не забываем прописать ip route replace default via IP_АДРЕС_МАРШРУТИЗАТОРА dev СЕТЕВОЙ_АДАПТЕР_НА_МАРШРУТИЗАТОР. (прим. ip route replace default via 192.168.1.1 dev ens192
Базовая настройка на ISP не отличается. также прописываем имя хоста, выставляем IP-адреса, *ОБРАЩАЮ ВНИМАНИЕ, ЧТО ПОДСЕТИ НА ISP УКАЗАНЫ ПО ЗАДАНИЮ.
¶ Настройте динамическую сетевую трансляцию портов
- Включение IP-форвардинга
Это позволяет серверу маршрутизировать пакеты между интерфейсами.
Включение на время работы (немедленный эффект):
echo 1 > /proc/sys/net/ipv4/ip_forward
Сделать постоянным (через перезагрузки, редактируя конфиг):
sed -i 's/^net.ipv4.ip_forward.*/net.ipv4.ip_forward = 1/' /etc/sysctl.conf
grep -q "^net.ipv4.ip_forward" /etc/sysctl.conf || echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
ПРОЩЕ ТАК - через файл:
Меняем значение ip_forward на 1
ПЕРЕЗАГРУЖАЕМСЯ
¶ Проверка:
cat /proc/sys/net/ipv4/ip_forward # Должен вернуть: 1
grep "^net.ipv4.ip_forward" /etc/sysctl.conf # Должен показать: net.ipv4.ip_forward = 1
Сложный, но правильный вариант через через iptables и т.п., ЕСЛИ СТРАШНО, ТО ПРОПУСКАЕМ, ОСТАВЛЯЕМ ТОЛЬКО IP_forward
- Очистка существующих правил iptables (опционально, но рекомендуется для чистоты)
Это удалит старые правила, чтобы избежать конфликтов. Будьте осторожны, если у вас есть другие правила файрвола!
¶ iptables -t nat -F POSTROUTING
¶ iptables -F FORWARD
¶ Опционально: Полная очистка (используйте, если хотите полный сброс)
¶ iptables -F
¶ iptables -t nat -F
¶ iptables -t mangle -F
¶ 3. Добавление правила MASQUERADE для динамического NAT
Это переписывает исходящие пакеты из локальных сетей, используя динамический IP на ENS192.
iptables -t nat -A POSTROUTING -o ENS192 -j MASQUERADE
Проверка:
iptables -t nat -L POSTROUTING -n -v # Должен показать: MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0 (с счётчиками пакетов)
¶ 4. Добавление правил форвардинга
Это позволяет пересылать трафик между локальными сетями и интернетом. Указываем правила для установленных соединений и каждой сети.
¶ Разрешение для установленных/связанных соединений (для обратного трафика)
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
¶ Разрешение форвардинга для каждой локальной сети к/от интернета (через ENS192)
¶ Для 172.16.1.0/28 (ISP-HQ)
iptables -A FORWARD -s 172.16.1.0/28 -o ENS192 -j ACCEPT
iptables -A FORWARD -d 172.16.1.0/28 -i ENS192 -j ACCEPT
¶ Для 172.16.2.0/28 (ISP-BR)
iptables -A FORWARD -s 172.16.2.0/28 -o ENS192 -j ACCEPT
iptables -A FORWARD -d 172.16.2.0/28 -i ENS192 -j ACCEPT
¶ Для 192.168.1.0/28 (BR-NET)
iptables -A FORWARD -s 192.168.1.0/28 -o ENS192 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/28 -i ENS192 -j ACCEPT
¶ Для 192.168.2.0/27 (HQ-NET)
iptables -A FORWARD -s 192.168.2.0/27 -o ENS192 -j ACCEPT
iptables -A FORWARD -d 192.168.2.0/27 -i ENS192 -j ACCEPT
¶ Опционально: Разрешение форвардинга между локальными сетями (например, если HQ-NET нужно общаться с BR-NET)
iptables -A FORWARD -s 172.16.1.0/28 -d 172.16.2.0/28 -j ACCEPT
iptables -A FORWARD -s 172.16.2.0/28 -d 172.16.1.0/28 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/28 -d 192.168.2.0/27 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/27 -d 192.168.1.0/28 -j ACCEPT
Проверка:
iptables -L FORWARD -n -v # Список всех правил FORWARD с счётчиками; ищите ваши сети
iptables -L FORWARD -n | grep "172.16.1.0/28" # Проверка для конкретной сети
5. Сохранение конфигурации (чтобы правила сохранялись после перезагрузки)
ALT Linux использует iptables-save и сервис iptables для сохранения 3 (похоже на Red Hat/Fedora).
¶ Сохранение правил
iptables-save > /etc/sysconfig/iptables
¶ Включение и запуск сервиса iptables
systemctl enable iptables
systemctl start iptables
Проверка:
systemctl status iptables # Должен показать active (running)
После перезагрузки правила должны загрузиться автоматически. Если нет, установите iptables-persistent (если доступно: apt-get install iptables-persistent, затем netfilter-persistent save).
¶ 3. Создайте локальные учетные записи на серверах HQ-SRV и BR-SRV: • Создайте пользователя sshuser • Пароль пользователя sshuser с паролем P@ssw0rd • Идентификатор пользователя 2026 • Пользователь sshuser должен иметь возможность запускать sudo без ввода пароля 59 • Создайте пользователя net_admin на маршрутизаторах HQ-RTR и BR RTR • Пароль пользователя net_admin с паролем P@ssw0rd • При настройке ОС на базе Linux, запускать sudo без ввода пароля • При настройке ОС отличных от Linux пользователь должен обладать максимальными привилегиями.
¶ Создайте локальные учетные записи на серверах HQ-SRV и BR-SRV
useradd - создание пользователя
Ключи для команды useradd
Для создания пользователя с определенным UID (Идентификатором) используем ключ -u (МАЛЕЬНКАЯ)
Поставить/изменить пароль пользователя
¶ При настройке ОС на базе Linux, запускать sudo без ввода пароля
Добавить пользователя в группу пользователей
При необходимости, проверяем, что пользователь в группе
¶ Разрешаем использовать sudo без ввода пароля для группы пользователей wheel
Редактируем файл sudoers
Находим следующие строки
Убираем с двух атрибутов решетки (раскоментирование), чтобы работали (#)
Можем проверить, через авторизацию под нашим вновь созданным пользователем
¶ ⚠️4. Настройте коммутацию в сегменте HQ следующим образом: • Трафик HQ-SRV должен принадлежать VLAN 100 • Трафик HQ-CLI должен принадлежать VLAN 200 • Предусмотреть возможность передачи трафика управления в VLAN 999 • Реализовать на HQ-RTR маршрутизацию трафика всех указанных VLAN с использованием одного сетевого адаптера ВМ/физического порта • Сведения о настройке коммутации внесите в отчёт (ПОКА НЕ ТРОГАЕМ ЭТО ЗАДАНИЕ) - В СТЕНДЕ НЕ БУДЕТ ВИРТУАЛЬНОГО КОММУТАТОРА⚠️
¶ 5. Настройте безопасный удаленный доступ на серверах HQ-SRV и BR SRV: • Для подключения используйте порт 2026 • Разрешите подключения исключительно пользователю sshuser • Ограничьте количество попыток входа до двух • Настройте баннер «Authorized access only».
Устанавливаем OpenSSH-server
Если выходит ошибка, прописываем systemctl daemon-reload
После чего повторно проводим команду на установку
Добавляем сервис в автозагрузку systemctl enable —now sshd
Настройка файла конфигурации OpenSSH
По заданию нужен порт 2026, поэтому меняем значение
По заданию кол-во попыток 2, меняем значение
Добавляем значение AllowUsers, куда по заданию прописываем только sshuser
Добавляем путь для баннера
Создаем папку и файл в ней для баннера
Прописываем по заданию - Authorized access only
Проверяем, видим что включен и порт поменялся
Для проверки подключения по SSH на другой машине пишем:
ssh sshuser@192.168.2.3 -p 2026
ssh sshuser@192.168.1.2 -p 2026
¶ 6. Между офисами HQ и BR, на маршрутизаторах HQ-RTR и BR-RTR необходимо сконфигурировать ip туннель: • На выбор технологии GRE или IP in IP • Сведения о туннеле занесите в отчёт. (СЕТИ СТАВИМ НА СВОИ, ПОКА В НАСТРОЙКЕ СЕТИ ЛЕВЫЕ)
Настройка динамической маршрутизации
¶ Настройка туннеля GRE и OSPF на HQ-RTR
-
Создание интерфейса туннеля
Создайте каталог для интерфейса туннеля:
mkdir /etc/net/ifaces/gre1 -
Настройка файла options для туннеля
Создайте и отредактируйте файл:
mcedit /etc/net/ifaces/gre1/optionsУ вас ip могут отличаться
Пример содержимого:TUNLOCAL=172.16.4.2 TUNREMOTE=172.16.5.2 TUNTYPE=gre TYPE=iptun TUNOPTIONS='ttl 64' HOST=ens192 -
Настройка IP-адреса туннеля
Создайте файл:
mcedit/etc/net/ifaces/gre1/ipv4addressПример:
172.16.100.2/29 -
Перезагрузите сеть и проверьте интерфейс:
systemctl restart network ip a -
Настройка frr
Добавьте службу
frrв автозагрузку:systemctl enable --now frrОтредактируйте конфигурационный файл демонов:
mcedit /etc/frr/daemons- Меняем ospfd:
-#ospfd=no +ospfd=yesСохраните изменения.
Перезагрузите службу frr:
systemctl restart frr -
Настройка OSPF через vtysh
Введите:
vtyshКомнды для настройки ospf
show running-config (чтобы проверить если там что нибудь или нет) conf t router ospf passive interface default network 172.16.100.0/29 area 0 сеть тунеля network 192.168.10.0/26 area 0 сеть в сторону hq-srv network 192.168.20.0/28 area 0 сеть в сторону hq-сli area 0 authentication exit interface gre1 тут вы указывете название вашего тунеля между hq-rtr и br-rtr no ip ospf passive ip ospf authentication-key 1245 ваш ключ exit do wr end exitПерезагрузите сеть:
systemctl restart network
¶ Настройка туннеля GRE и OSPF на BR-RTR
Развернуть инструкцию
-
Создание интерфейса туннеля
Создайте каталог:
mkdir /etc/net/ifaces/gre1 -
Настройка файла options для туннеля
Создайте и отредактируйте файл:
mcedit /etc/net/ifaces/gre1/optionsПример содержимого:
TUNLOCAL=172.16.5.2 TUNREMOTE=172.16.4.2 TUNTYPE=gre TYPE=iptun TUNOPTIONS='ttl 64' HOST=ens192 -
Настройка IP-адреса туннеля
Создайте файл:
mcedit /etc/net/ifaces/gre1/ipv4addressПример:
172.16.100.1/29 -
Перезагрузите сеть:
systemctl restart network ip a -
Настройка frr
Добавьте службу
frrв автозагрузку:systemctl enable --now frrОтредактируйте конфигурационный файл демонов:
mcedit /etc/frr/daemons- Меняем ospfd:
-#ospfd=no +ospfd=yesСохраните изменения.
Перезагрузите службу frr:
systemctl reboot frr -
Настройка OSPF через vtysh
Введите:
vtyshКомнды для настройки ospf
show running-config (чтобы проверить если там что нибудь или нет) conf t router ospf passive interface default network 172.16.100.0/29 area 0 сеть тунеля network 192.168.30.0/27 area 0 сеть в сторону br-rtr area 0 authentication exit interface gre1 тут вы указывете название вашего тунеля между hq-rtr и br-rtr no ip ospf passive ip ospf authentication-key 1245 ваш ключ exit do wr end exit -
Перезагрузите сеть:
systemctl restart network -
Проверьте настройки:
vtysh show ip ospf neighborЕсли сосед отображается – настройка выполнена корректно.
¶ 7. Обеспечьте динамическую маршрутизацию на маршрутизаторах HQ RTR и BR-RTR: сети одного офиса должны быть доступны из другого офиса и наоборот. Для обеспечения динамической маршрутизации используйте link state протокол на усмотрение участника: • Разрешите выбранный протокол только на интерфейсах ip туннеля • Маршрутизаторы должны делиться маршрутами только друг с другом • Обеспечьте защиту выбранного протокола посредством парольной защиты • Сведения о настройке и защите протокола занесите в отчёт.
apt-get update - обновление репозиториев
apt-get install frr -y - устанавливаем пакет FRR
Заходим в файл конфигурации демонов FRR
Видим список протоколов
Изменяем значение eigrpd с no на yes
Применяем новую конфигурацию, перезагружая сервис
Проверяем, что FRR запустился
Заходим в управление FRR
СИНТАКСИС ВНУТРИ, КАК В CISCO
Настройка FRR для BR-RTR
Настройка FRR для HQ-RTR
Настройка FRR для ISP
¶ 8. Настройка динамической трансляции адресов маршрутизаторах HQ RTR и BR-RTR: • Настройте динамическую трансляцию адресов для обоих офисов в сторону ISP, все устройства в офисах должны иметь доступ к сети Интернет
ПРОЩЕ ТАК - через файл:
Меняем значение ip_forward на 1
ПЕРЕЗАГРУЖАЕМСЯ
¶ 9. Настройте протокол динамической конфигурации хостов для сети в сторону HQ-CLI: • Настройте нужную подсеть • В качестве сервера DHCP выступает маршрутизатор HQ-RTR • Клиентом является машина HQ-CLI • Исключите из выдачи адрес маршрутизатора • Адрес шлюза по умолчанию – адрес маршрутизатора HQ-RTR • Адрес DNS-сервера для машины HQ-CLI – адрес сервера HQ-SRV • DNS-суффикс – au-team.irpo • Сведения о настройке протокола занесите в отчёт.
Устанавливаем DHCP-server
Копируем файл конфигурации и называем его dhcpd.conf
Настройка выдачи DHCP, заходим в файл через mcedit
Ставим выдачу DHCP только с опеделенного сетевого адаптера
Проверяем, что DHCP заработал
¶ 10. Настройте инфраструктуру разрешения доменных имён для офисов HQ и BR: • Основной DNS-сервер реализован на HQ-SRV • Сервер должен обеспечивать разрешение имён в сетевые адреса устройств и обратно в соответствии с таблицей 3 • В качестве DNS сервера пересылки используйте любой общедоступный DNS сервер(77.88.8.7, 77.88.8.3 или другие) (ЗОНА ОБРАТНОГО ПРОСМОТРА ПОКА НА ДОРАБОТКЕ)
Устанавливаем bind и утилиты
Меняем значение
где:
listen-on port 53 { any; }; — IP-сети DNS-сервера, на котором он будет принимать запросы; (можно прописать any - слушать везде)
listen-on-v6 port 53 присвоим значение none, тем самым отключив IPv6
allow-query разрешает выполнять запросы всем, но из соображений безопасности можно ограничить доступ для конкретной сети.
forwarders перенаправляем запросы, которые сами не резолвим, на DNS сервер Яндекса.
Добавляем зоны в данный файл
Проверяем, что нет ошибок
Создаем базы для зон
База для зоны прямого просмотра
База для зоны обратного просмотра
Пример заполнения базы данных для зоны прямого просмотра
НА ДОРАБОТКЕ
Пример заполнения базы данных для зоны обратного просмотра
..........
¶ 11. Настройте часовой пояс на всех устройствах (за исключением виртуального коммутатора, в случае его использования) согласно месту проведения экзамена
Выставляем зону для Москвы на всех ВМ
Если по заданию просят другой регион, то смотрим регионы по следующему пути
¶ Дальше идет немного в разнобой, используем поиск, если нужно конкретное
¶ Модуль 2. Задание 1: Настройка контроллера домена Samba DC
¶ Описание задания
- Имя домена:
au-team.irpo - Введите в созданный домен машину HQ-CLI
- Создайте 5 пользователей для офиса HQ: имена пользователей формата
hquser№(например hquser1, hquser2 и т.д.) - Создайте группу
hq, введите в группу созданных пользователей - Убедитесь, что пользователи группы
hqимеют право аутентифицироваться на HQ-CLI - Пользователи группы
hqдолжны иметь возможность повышать привилегии для выполнения ограниченного набора команд:cat,grep,id. Запускать другие команды с повышенными привилегиями пользователи группы права не имеют.
¶ Решение
¶ Часть 1: Настройка Samba DC на BR-SRV
¶ 1.1 Установка необходимых пакетов
apt-get update && apt-get install -y task-samba-dc
¶ 1.2 Очистка предыдущей конфигурации Samba (если была)
rm -f /etc/samba/smb.conf
rm -rf /var/lib/samba
rm -rf /var/cache/samba
mkdir -p /var/lib/samba/sysvol
¶ 1.3 Развёртывание домена
Запустите интерактивное развёртывание:
samba-tool domain provision
При запросе параметров:
- Realm:
AU-TEAM.IRPO(подставится автоматически) - Domain:
AU-TEAM(подставится автоматически) - Server Role:
dc(нажмите Enter) - DNS backend:
SAMBA_INTERNAL(нажмите Enter) - DNS forwarder IP address:
192.168.100.2(IP HQ-SRV или другой DNS) - Administrator password: введите пароль (минимум 7 символов, буквы верхнего/нижнего регистра, цифры)
Пример успешного вывода:
Server Role: active directory domain controller
Hostname: br-srv
NetBIOS Domain: AU-TEAM
DNS Domain: au-team.irpo
DOMAIN SID: S-1-5-21-3779736722-240538183-1905
¶ 1.4 Настройка служб
Включаем и добавляем в автозагрузку службу samba:
systemctl enable --now samba
Настройка Kerberos:
cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
Перезагружаем службу samba:
systemctl restart samba
¶ 1.5 Настройка DNS на BR-SRV
Редактируем resolv.conf для интерфейса:
echo "search au-team.irpo" > /etc/net/ifaces/ens192/resolv.conf
echo "nameserver 127.0.0.1" >> /etc/net/ifaces/ens192/resolv.conf
Перезагружаем сеть:
systemctl restart network
¶ 1.6 Проверка работоспособности домена
Просмотр информации о домене:
samba-tool domain info 127.0.0.1
Проверка SMB-шар:
smbclient -L 127.0.0.1 -U administrator
Введите пароль администратора. Должны отобразиться шары sysvol и netlogon.
¶ 1.7 Проверка DNS
Установка утилиты host (если не установлена):
apt-get install -y bind-utils
Проверка DNS-записей:
host au-team.irpo
host -t SRV _kerberos._udp.au-team.irpo
host -t SRV _ldap._tcp.au-team.irpo
host br-srv.au-team.irpo
¶ 1.8 Проверка Kerberos
Получение билета (имя домена в ВЕРХНЕМ регистре):
kinit Administrator@AU-TEAM.IRPO
Просмотр полученного билета:
klist
¶ Часть 2: Создание пользователей и группы
¶ 2.1 Создание группы hq
samba-tool group add hq
Проверка:
samba-tool group list
¶ 2.2 Создание пользователей и добавление в группу
for i in {1..5}; do
samba-tool user add hquser$i P@ssw0rd
samba-tool user setexpiry hquser$i --noexpiry
samba-tool group addmembers "hq" hquser$i
done
Проверка членства в группе:
samba-tool group listmembers hq
Ожидаемый вывод:
hquser1
hquser2
hquser3
hquser4
hquser5
¶ Часть 3: Ввод HQ-CLI в домен
¶ 3.1 Настройка сети на HQ-CLI
Задаём статические параметры адресации с указанием DNS-сервера BR-SRV.
Через графический интерфейс (Настройки сети → Проводное подключение → IPv4):
- Метод IPv4: Вручную
- Адрес:
192.168.200.2 - Маска:
24 - Шлюз:
192.168.200.1 - DNS:
192.168.0.2(IP адрес BR-SRV)
Или через командную строку:
# В /etc/net/ifaces/<интерфейс>/resolv.conf
echo "search au-team.irpo" > /etc/net/ifaces/ens192/resolv.conf
echo "nameserver 192.168.0.2" >> /etc/net/ifaces/ens192/resolv.conf
systemctl restart network
Проверка разрешения доменного имени:
host au-team.irpo
¶ 3.2 Установка пакетов для ввода в домен
apt-get update && apt-get install -y task-auth-ad-sssd
¶ 3.3 Ввод в домен через Центр Управления Системой
- Откройте Центр управления системой
- Перейдите в раздел Пользователи → Аутентификация
- Выберите Active Directory
- Введите:
- Домен:
au-team.irpo - Имя компьютера:
hq-cli - Администратор:
administrator - Пароль: (пароль администратора домена)
- Домен:
- Нажмите Применить
При успешном вводе появится сообщение:
¶ 3.4 Перезагрузка HQ-CLI
После ввода в домен необходимо перезагрузить машину:
reboot
¶ Часть 4: Настройка ограниченного sudo для группы hq
¶ 4.1 Установка libnss-role
apt-get install -y libnss-role
Проверка, что модуль включён:
control libnss-role
Ожидаемый вывод: enabled
¶ 4.2 Связывание доменной группы с локальной группой wheel
roleadd hq wheel
Проверка:
rolelst
Ожидаемый вывод должен содержать строку:
hq:wheel
¶ 4.3 Настройка sudoers
Редактируем файл /etc/sudoers:
visudo
или
nano /etc/sudoers
Добавляем алиас для разрешённых команд:
## Cmnd alias specification
Cmnd_Alias SHELLCMD = /bin/cat, /bin/grep, /usr/bin/id
Добавляем правило для группы wheel:
## User privilege specification
WHEEL_USERS ALL=(ALL:ALL) SHELLCMD
Важно: Убедитесь, что строка
WHEEL_USERS ALL=(ALL:ALL) ALLзакомментирована или удалена, чтобы пользователи группы wheel имели доступ только к указанным командам.
¶ Часть 5: Проверка работы
¶ 5.1 Вход под доменным пользователем
На экране входа HQ-CLI нажмите "Нет в списке?":
Введите:
- Логин:
hquser3(или любой созданный пользователь) - Пароль:
P@ssw0rd
¶ 5.2 Проверка разрешённых команд
sudo id
sudo cat /etc/hosts
sudo grep '127.0.0.1' /etc/hosts
Результат: все команды выполняются успешно.
¶ 5.3 Проверка запрещённых команд
sudo su -
Результат: отказано в доступе
Извините, пользователю hquser3 не разрешено выполнять «/bin/su -» как root на hq-cli.au-team.irpo.
¶ Итоговая проверка
| Проверка | Команда | Ожидаемый результат |
|---|---|---|
| Информация о домене | samba-tool domain info 127.0.0.1 |
Показывает Forest, Domain, DC name |
| Список групп | samba-tool group list |
Содержит группу hq |
| Члены группы hq | samba-tool group listmembers hq |
hquser1-5 |
| DNS домена | host au-team.irpo |
Резолвится в IP BR-SRV |
| Kerberos | kinit Administrator@AU-TEAM.IRPO && klist |
Билет получен |
| Вход на HQ-CLI | Вход под hquser1-5 | Успешная аутентификация |
| sudo id | sudo id |
Выполняется |
| sudo cat | sudo cat /etc/hosts |
Выполняется |
| sudo grep | sudo grep '127' /etc/hosts |
Выполняется |
| sudo su | sudo su - |
Отказано |
¶ Возможные проблемы и решения
¶ Ошибка при развёртывании домена
- Убедитесь, что пароль соответствует требованиям сложности
- Проверьте, что hostname настроен корректно
¶ HQ-CLI не видит домен
- Проверьте, что DNS указывает на BR-SRV
- Убедитесь в сетевой связности:
ping 192.168.0.2
¶ Пользователь не может войти
- Проверьте службу sssd:
systemctl status sssd - Проверьте логи:
journalctl -u sssd
¶ sudo не работает
- Проверьте синтаксис sudoers:
visudo -c - Убедитесь, что libnss-role включён:
control libnss-role
¶ Модуль 2. Задание 2: Конфигурация файлового хранилища (RAID)
¶ Описание задания
- При помощи двух подключенных к серверу дополнительных дисков размером 1 Гб сконфигурируйте дисковый массив уровня 0
- Имя устройства –
md0, при необходимости конфигурация массива размещается в файле/etc/mdadm.conf - Создайте раздел, отформатируйте раздел, в качестве файловой системы используйте
ext4 - Обеспечьте автоматическое монтирование в папку
/raid
¶ Решение
¶ Часть 1: Подготовка и установка
¶ 1.1 Установка mdadm
mdadm — утилита для работы с программными RAID-массивами различных уровней.
apt-get update && apt-get install -y mdadm
¶ 1.2 Определение дисков
Просматриваем физические диски для определения, какие будут использоваться в RAID-массиве:
lsblk
В данном примере для работы будут использованы диски: sdb и sdc (оба по 1 Гб).
Важно: У вас диски могут называться иначе. Используйте команду
lsblkдля определения правильных имён.
¶ Часть 2: Создание RAID-массива
¶ 2.1 Зануление суперблоков
Перед созданием массива необходимо занулить суперблоки на дисках:
mdadm --zero-superblock --force /dev/sdb /dev/sdc
Примечание: Если диски новые и не использовались ранее в RAID, команда может выдать предупреждение — это нормально.
¶ 2.2 Создание RAID-массива уровня 0
mdadm --create --verbose /dev/md0 -l 0 -n 2 /dev/sdb /dev/sdc
Параметры команды:
/dev/md0— устройство RAID, которое появится после сборки-l 0— уровень RAID (0 = striping, чередование)-n 2— количество дисков в массиве/dev/sdb /dev/sdc— диски для сборки массива
¶ 2.3 Сохранение конфигурации массива
Сохраняем конфигурацию в файл /etc/mdadm.conf:
mdadm --detail --scan --verbose | tee -a /etc/mdadm.conf
¶ Часть 3: Форматирование и монтирование
¶ 3.1 Создание файловой системы
Форматируем массив в файловую систему ext4:
mkfs.ext4 /dev/md0
¶ 3.2 Проверка UUID массива
blkid /dev/md0
Запомните UUID — он понадобится для fstab.
¶ 3.3 Создание точки монтирования
mkdir /raid
¶ 3.4 Настройка автоматического монтирования
Редактируем файл /etc/fstab:
nano /etc/fstab
Добавляем строку:
/dev/md0 /raid ext4 defaults 0 0
Альтернативный вариант (с использованием UUID):
UUID=65f87a3d-2f2a-471a-a04a-b29ccd9b0d55 /raid ext4 defaults 0 0
¶ 3.5 Монтирование
Выполняем монтирование всех разделов из fstab:
mount -av
¶ Часть 4: Проверка
¶ 4.1 Проверка смонтированных разделов
df -h
Должен отображаться /dev/md0 размером ~2 Гб (сумма двух дисков при RAID 0), смонтированный в /raid.
¶ 4.2 Проверка состояния RAID
cat /proc/mdstat
Или подробная информация:
mdadm --detail /dev/md0
¶ Итоговая проверка
| Проверка | Команда | Ожидаемый результат |
|---|---|---|
| Диски в массиве | lsblk |
sdb и sdc являются частью md0 |
| Состояние RAID | cat /proc/mdstat |
md0 : active raid0 |
| Файловая система | blkid /dev/md0 |
TYPE="ext4" |
| Монтирование | df -h \| grep raid |
/dev/md0 смонтирован в /raid |
| Автомонтирование | cat /etc/fstab |
Строка с /dev/md0 и /raid |
¶ Дополнительная информация
¶ Уровни RAID
| Уровень | Описание | Минимум дисков | Ёмкость |
|---|---|---|---|
| RAID 0 | Чередование (striping) | 2 | 100% (сумма дисков) |
| RAID 1 | Зеркалирование (mirroring) | 2 | 50% (размер одного диска) |
| RAID 5 | Чередование с распределённой чётностью | 3 | (N-1) × размер диска |
¶ Полезные команды
# Просмотр состояния всех массивов
cat /proc/mdstat
# Подробная информация о массиве
mdadm --detail /dev/md0
# Остановка массива
mdadm --stop /dev/md0
# Удаление массива
mdadm --remove /dev/md0
¶ Возможные проблемы и решения
¶ Диски не видны в lsblk
- Проверьте, что диски добавлены в виртуальной машине
- Перезагрузите систему после добавления дисков
¶ Ошибка при создании массива
- Убедитесь, что диски не используются (не смонтированы)
- Выполните зануление суперблоков
¶ Массив не монтируется автоматически
- Проверьте синтаксис в
/etc/fstab - Убедитесь, что директория
/raidсоздана - Проверьте:
mount -avдля диагностики
¶ Модуль 2. Задание 3: Настройка сервера сетевой файловой системы (NFS)
¶ Описание задания
- В качестве папки общего доступа выберите
/raid/nfs, доступ для чтения и записи исключительно для сети в сторону HQ-CLI - На HQ-CLI настройте автомонтирование в папку
/mnt/nfs - Основные параметры сервера отметьте в отчёте
¶ Решение
¶ Часть 1: Настройка NFS-сервера на HQ-SRV
¶ 1.1 Установка пакетов
apt-get install -y nfs-server nfs-utils
¶ 1.2 Создание директории общего доступа
Создаём директорию внутри RAID-массива:
mkdir /raid/nfs
¶ 1.3 Назначение прав
chmod 777 /raid/nfs
¶ 1.4 Настройка экспорта
Редактируем файл /etc/exports:
vim /etc/exports
Добавляем строку:
/raid/nfs 192.168.200.0/24(rw,no_root_squash)
Параметры:
/raid/nfs— общий ресурс (директория для экспорта)192.168.200.0/24— клиентская сеть, которой разрешено монтированиеrw— разрешены чтение и записьno_root_squash— отключение ограничения прав root (root на клиенте = root на сервере)
¶ 1.5 Экспорт файловой системы
exportfs -arv
Флаги команды:
-a— экспортировать все каталоги из/etc/exports-r— повторный экспорт всех каталогов (синхронизация)-v— подробный вывод
¶ 1.6 Запуск и автозагрузка NFS-сервера
systemctl enable --now nfs-server
¶ Часть 2: Настройка NFS-клиента на HQ-CLI
¶ 2.1 Установка пакетов
apt-get update && apt-get install -y nfs-utils nfs-clients
¶ 2.2 Создание точки монтирования
mkdir /mnt/nfs
¶ 2.3 Назначение прав
chmod 777 /mnt/nfs
¶ 2.4 Настройка автомонтирования
Редактируем файл /etc/fstab:
vim /etc/fstab
Добавляем строку:
192.168.100.2:/raid/nfs /mnt/nfs nfs defaults 0 0
Примечание:
192.168.100.2— IP-адрес сервера HQ-SRV. Замените на актуальный адрес в вашей сети.
¶ 2.5 Монтирование
mount -av
¶ Часть 3: Проверка
¶ 3.1 Проверка на клиенте (HQ-CLI)
df -h
Должна отображаться строка с 192.168.100.2:/raid/nfs, смонтированная в /mnt/nfs.
¶ 3.2 Проверка записи через файловый менеджер
На HQ-CLI откройте файловый менеджер и перейдите в /mnt/nfs. Создайте тестовый файл:
¶ 3.3 Проверка на сервере (HQ-SRV)
ls -l /raid/nfs/
Файл test.txt, созданный на клиенте, должен отображаться на сервере.
¶ Итоговая проверка
| Проверка | Где | Команда | Ожидаемый результат |
|---|---|---|---|
| NFS-сервер работает | HQ-SRV | systemctl status nfs-server |
active (running) |
| Экспорт настроен | HQ-SRV | exportfs -v |
/raid/nfs с параметрами |
| Ресурс смонтирован | HQ-CLI | df -h \| grep nfs |
192.168.100.2:/raid/nfs |
| Запись работает | HQ-CLI | touch /mnt/nfs/test |
Файл создаётся |
| Файл виден на сервере | HQ-SRV | ls /raid/nfs/ |
test виден |
¶ Основные параметры сервера (для отчёта)
| Параметр | Значение |
|---|---|
| Сервер | HQ-SRV (192.168.100.2) |
| Экспортируемая директория | /raid/nfs |
| Разрешённая сеть | 192.168.200.0/24 |
| Права доступа | rw (чтение и запись) |
| Root squash | отключён (no_root_squash) |
| Точка монтирования на клиенте | /mnt/nfs |
| Автомонтирование | через /etc/fstab |
¶ Дополнительные параметры exports
| Параметр | Описание |
|---|---|
rw |
Чтение и запись |
ro |
Только чтение |
sync |
Синхронная запись (безопаснее) |
async |
Асинхронная запись (быстрее) |
no_root_squash |
Root на клиенте = root на сервере |
root_squash |
Root на клиенте = nobody на сервере |
all_squash |
Все пользователи = nobody |
no_subtree_check |
Отключить проверку поддерева |
¶ Полезные команды
# Просмотр экспортированных ресурсов (на сервере)
exportfs -v
# Просмотр доступных ресурсов на сервере (с клиента)
showmount -e 192.168.100.2
# Принудительное размонтирование
umount -f /mnt/nfs
# Перезагрузка экспорта без перезапуска сервера
exportfs -ra
¶ Возможные проблемы и решения
¶ Ошибка "access denied" при монтировании
- Проверьте IP-адрес клиента в
/etc/exports - Убедитесь, что firewall не блокирует NFS (порты 111, 2049)
¶ Нет прав на запись
- Проверьте параметр
rwв/etc/exports - Проверьте права на директорию:
chmod 777 /raid/nfs
¶ Ресурс не монтируется автоматически
- Проверьте синтаксис в
/etc/fstab - Добавьте опцию
_netdevдля сетевых ресурсов:192.168.100.2:/raid/nfs /mnt/nfs nfs defaults,_netdev 0 0
¶ Таймаут при монтировании
- Проверьте сетевую связность:
ping 192.168.100.2 - Убедитесь, что NFS-сервер запущен
¶ Модуль 2. Задание 4: Настройка службы сетевого времени (Chrony)
¶ Описание задания
- Вышестоящий сервер NTP на маршрутизаторе ISP — на выбор участника
- Стратум сервера — 5
- В качестве клиентов NTP настройте: HQ-SRV, HQ-CLI, BR-RTR, BR-SRV
¶ Решение
¶ Часть 1: Настройка NTP-сервера на ISP
¶ 1.1 Установка chrony (если не установлен)
apt-get install -y chrony
¶ 1.2 Редактирование конфигурации
Редактируем файл /etc/chrony.conf:
vim /etc/chrony.conf
Добавляем/изменяем следующие строки:
# Вышестоящий NTP-сервер (на выбор)
pool pool.ntp.org iburst
# Установка стратума 5
local stratum 5
# Разрешаем синхронизацию для локальных сетей
allow 172.16.4.0/28
allow 172.16.5.0/28
Параметры:
pool pool.ntp.org iburst— использование пула NTP-серверовlocal stratum 5— установка стратума сервера равным 5allow— разрешение синхронизации для указанных сетей
¶ 1.3 Перезапуск службы
systemctl restart chronyd
systemctl enable chronyd
¶ 1.4 Проверка работы NTP-сервера
chronyc tracking
chronyc sources
Что проверяем:
Stratum: 5— стратум сервера- В
chronyc sourcesдолжен отображаться вышестоящий сервер с символом*
¶ Часть 2: Настройка NTP-клиентов
¶ 2.1 Настройка HQ-RTR и BR-RTR
На маршрутизаторах редактируем /etc/chrony.conf:
vim /etc/chrony.conf
Закомментируем стандартные серверы и добавляем ISP:
# Закомментировать стандартный пул
#pool pool.ntp.org iburst
# Добавить ISP как NTP-сервер
server 172.16.4.1 iburst
Примечание: Для BR-RTR используйте
server 172.16.5.1 iburst
Перезапускаем службу:
systemctl restart chronyd
¶ 2.2 Настройка HQ-SRV
Редактируем /etc/chrony.conf:
vim /etc/chrony.conf
#pool pool.ntp.org iburst
server 172.16.1.1 iburst
Примечание: Используйте IP-адрес HQ-RTR или ISP, доступный из сети HQ-SRV
Перезапускаем:
systemctl restart chronyd
Проверяем:
chronyc sources
¶ 2.3 Настройка HQ-CLI
Редактируем /etc/chrony.conf:
vim /etc/chrony.conf
#pool pool.ntp.org iburst
server 172.16.1.1 iburst
Перезапускаем:
systemctl restart chronyd
Проверяем:
chronyc sources
¶ 2.4 Настройка BR-SRV
Аналогично HQ-SRV, редактируем /etc/chrony.conf:
vim /etc/chrony.conf
#pool pool.ntp.org iburst
server 172.16.2.1 iburst
Примечание: Используйте IP-адрес BR-RTR или ISP, доступный из сети BR-SRV
Перезапускаем:
systemctl restart chronyd
Проверяем:
chronyc sources
¶ Итоговая проверка
| Устройство | Роль | NTP-сервер | Команда проверки |
|---|---|---|---|
| ISP | Сервер (stratum 5) | pool.ntp.org | chronyc tracking |
| HQ-RTR | Клиент | ISP (172.16.4.1) | chronyc sources |
| BR-RTR | Клиент | ISP (172.16.5.1) | chronyc sources |
| HQ-SRV | Клиент | HQ-RTR/ISP | chronyc sources |
| HQ-CLI | Клиент | HQ-RTR/ISP | chronyc sources |
| BR-SRV | Клиент | BR-RTR/ISP | chronyc sources |
¶ Ожидаемый результат chronyc sources
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.16.x.x 5 6 17 40 -613us[+2976us] +/- 34ms
Символы состояния:
*— текущий источник синхронизации+— приемлемый источник-— источник исключён алгоритмом?— источник потерял связь
¶ Основные параметры (для отчёта)
| Параметр | Значение |
|---|---|
| NTP-сервер | ISP |
| Стратум | 5 |
| Вышестоящий сервер | pool.ntp.org |
| Клиенты | HQ-RTR, BR-RTR, HQ-SRV, HQ-CLI, BR-SRV |
| Порт NTP | 123/UDP |
¶ Полезные команды chrony
# Статус синхронизации
chronyc tracking
# Список источников времени
chronyc sources
# Подробная информация об источниках
chronyc sourcestats
# Принудительная синхронизация
chronyc makestep
# Список клиентов (на сервере)
chronyc clients
# Проверка конфигурации
chronyd -p
¶ Возможные проблемы и решения
¶ Клиент не синхронизируется
- Проверьте сетевую связность:
ping 172.16.4.1 - Убедитесь, что на сервере добавлена директива
allowдля сети клиента - Проверьте firewall: порт 123/UDP должен быть открыт
¶ Stratum показывает 0 или 16
- Stratum 0 — источник времени (атомные часы, GPS)
- Stratum 16 — сервер не синхронизирован
- Подождите несколько минут после запуска службы
¶ Источник помечен символом ?
- Сервер временно недоступен
- Проверьте сеть и статус службы на сервере
¶ Ошибка "No sources"
- Проверьте правильность IP-адреса в конфигурации
- Убедитесь, что служба chronyd запущена на сервере